De Verbeterdebuurt-app heeft gegevens van zowel anonieme als niet-anonieme melders gelekt. Deze melders waren voor iedereen zichtbaar.
Anonieme Buurtverbeteraar
Beveiligingsonderzoeker Jan van Kampen kwam hier achter toen hij zelf wilde kijken wie er had geklaagd over een kunstproject waar hij aan meewerkte. Iemand had anoniem geklaagd over het project en werd in de app als ‘Anonieme Buurtverbeteraar’ weergegeven. De melder had dus de melding anoniem gedaan. Van Kampen ontdekte in de api van de app dat er toch meer gegevens werden verstuurd. Bij de melding was namelijk het e-maildres van de melder te zien en hieruit kon hij makkelijk achterhalen welke buurman de melding had gedaan. De buurman gebruikte namelijk zijn voorletters en de achternaam in zijn e-mailadres.
Na vele pogingen kreeg Van Kampen eindelijk iemand van Verbeter de Buurt aan de telefoon. Het lek werd bij Autoriteit Persoonsgegevens gemeld en de fout in de app werd verholpen.
Meer anonieme gegevens openbaar
De beveiligingsonderzoeker besloot toch om de code nog eens verder te inspecteren en kwam er toen achter dat er nog meer gegevens te achterhalen waren, waaronder de ‘Privénotitie‘. Dat is een notitie die de behandelaar van de gemeente aan een melding kan toevoegen, zoals een telefoonnummer. Van Kampen kon hier direct meerdere telefoonnummers, adresgegevens en andere notities van de melders bekijken. Ook dit lek is gemeld bij Verbeter de Buurt en inmiddels verholpen.
Van Kampen sluit zijn ontdekking af met een moraal van vijf punten waaronder het volgende: “Het is me een groot raadsel waarom al die gemeenten in Nederland dit niet hebben opgemerkt de afgelopen jaren. Ik ben heel benieuwd hoe dit door het selectieproces is gekomen, en wat de eisen zijn om met je software zo’n rol in te nemen in de maatschappij.”
Met de Verbeterdebuurt-app kan je snel problemen en ideeën melden aan je gemeente. Denk aan omgewaaide bomen en stoeptegels die los zitten. Ook kan je zien wat er in je buurt speelt door de meldingen van je buren te bekijken.

Reacties
Inloggen of registreren
om een reactie achter te laten
Dit artikel had iets genuanceerder gekund: Jan van Kampen heeft het probleem bij mij gemeld en daar ben ik hem heel dankbaar voor. Het gaat echter niet om een datalek, maar om een kwetsbaarheid waarlangs data had kunnen lekken. Dat is desalniettemin een zaak om gelijk te verhelpen. Het gaat ook niet om een jarenlange publieke opening maar een tijdelijke kwetsbaarheid na een update die niet is opgepakt door de controlemechanismen die daar voor zijn.
Toch wel raar dat bewoners moeten gaan melden terwijl onze burgemeester zoveel werknemers in dienst heeft die alles kunnen zien onderweg. Zegt iets over de motivatie van het personeel binnen een bedrijf denk ik.
Gebruik MakkelijkMelden, hoop dat deze wel goed gecontroleerd is!